OpenVPN Клиент Сервер при сети из нескольких филиалов

nintendoos

Добрый день!
Кто сможет помочь, объяснить, где затык.
Есть сеть филиалов в каждой своя сеть.
Между ними настроен OpenVPN PSK
Пример построения
Филиал 1
Lan 192.168.2.0/24
1 Соединение
OpenVPN 10.10.10.0/24
remote IPv4 192.168.3.0/24
2 Соединение
OpenVPN 10.10.11.0/24
remote IPv4 192.168.4.0/24
3 Соединение
OpenVPN 10.10.12.0/24
remote IPv4 192.168.5.0/24
4 Соединение
OpenVPN 10.10.13.0/24
remote IPv4 192.168.6.0/24

2 Филиал
Lan 192.168.3.0/24
Клиент
OpenVPN 10.10.10.0/24
remote IPv4 192.168.2.0/24
Custom options
route 192.168.4.0 255.255.255.0;
route 192.168.5.0 255.255.255.0;
route 192.168.6.0 255.255.255.0;

Остальные филиалы настроены похожим способом. Между ними все прекрассно видно и работает.
Затык сообственно вот в чем:
Не важно на каком филиале создаю OpenVPN сервер для доступа удаленных клиентов во внутренную сеть.
Они видят только ту сеть куда подключаются. Тоесть к примеру, сервер создан во втором филиале они видят ТОЛЬКО его сеть. При этом если смотерть route print, там маршруты прописаны.
Так же если делать tracert на любой филиал, я получаю выход на этот филиал, куда подключен, а дальше тишина.

Настройки OpenVPN сервера на любом филиале.
Server Mode: Remote Access (SSL/TLS)
Protocol: UDP
Device mode: tun
Interface: WAN
port: 1254
Cryptografic Settings:
Tunel Settings:
IPv4 Tunel: 10.10.10.0/24
IPv4 local: 192.168.3.0/24, 192.168.4.0/24, 192.168.5.0/24, 192.168.6.0/24

Игрался по разному, ставил галочку Redirect Gateway: Force all client generated traffic through the tunnel.

Неделю бьюсь над этой загадкой.
Надеюсь, что сможете направить меня на путь истинный.
На вопрос, зачем доступ ко всем филиалам, ответ надо руководству.
Мне не влом и ко всем по отдельности подключаться.

С Уважением.

Konstanti

@nintendoos
Здр
У меня есть подозрение , что центральный офис и остальные филиалы ничего не знают про сети удаленных клиентов .
Как вариант , попробуйте включить Nat outbound на openvpn интерфейсе филиала (туннель филиал - офис ) для удаленной сети .
Я бы использовал tcpdump для локализации проблемы

nintendoos

@Konstanti
Добрый! Спасибо за ответ.
Я так понимаю, что необходимо именно в филиале в Nat Outbound включить?

Там созданы автоматические правила по типу WAN 127.0.0.0/8 ::1/128 192.168.3.0/24 10.10.14.0/24 10.10.10.0/24 с портом 500 и на WAN adress
И второе такое же

Konstanti

@nintendoos Именно в филиале
Где и как делать Вам должно быть виднее (это надо смотреть по таблицам маршрутизации) Те нужно делать так , чтобы на выходе Вы имели пакет с адресом источника , известного всем остальным . Чтобы пакет мог вернуться обратно .

Или , как вариант , если у Вас настроена статическая маршрутизация прописывать в офисе и филиалах ручками маршруты к удаленным сетям

nintendoos

@Konstanti
Спасибо за ответ.
Может конечно я не выспался. Но что-то не совсем понимаю.
У меня филиалы друг друга видят. маршруты проходят в обе стороны.
А вот впн клиенты видят только одну сеть - ту куда подключаються.
Остальные сети не видят.
В маршрутах у них прописывается все сети.
Попробую конечно сегодня ночью прописать в NATе маршрут.
Тогда и отпишусь.

pigbrother

This post is deleted!

Konstanti

@nintendoos Блин ,
филиалы друг друга видят , потому что маршруты прописаны ручками из филиала А к филиалу Б .
А тут появляется сеть С , про которую знает только филиал А . Он-то , со своей стороны, отправит пакет от C в направлении филиала Б . А как пакет обратно вернется , если Б ничего не знает про С ?

Запустите tcpdump в разных точках и посмотрите за движением пакета от С к Б и обратно.

nintendoos

@pigbrother
Пробовал и так делать.
В конечном итоге затык все равно с клиентами которые подключаются с домашних или выданных ноутбуков.
Проверял даже на домашнем ноуте. где моя под сеть это 192.16.16.0/24

nintendoos

@Konstanti
Спасибо!
Сейчас посмотрю.
Что-то я это вообще из виду упустил.

nintendoos

Добрый вечер!

Всем огромное спасибо за наводки.
Не уверен, что это абсолютно верное решение.
Но решил таким способом.
Добавил в каждом филиале
В раздел Advanced Cofiguration
Costom options
добавил строчку
route 10.10.64.0 255.255.255.0 - это сеть OpenVPN для клиентов которые подключаються с выданных ноутов.

Всем еще раз Огромное спасибо за советы и направления!

С Уважением.

werter

@nintendoos said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

Custom options
route 192.168.4.0 255.255.255.0;
route 192.168.5.0 255.255.255.0;
route 192.168.6.0 255.255.255.0;

Не надо на клиентах так. Запутаетесь. Пушите маршруты клиентам на сервере. Там пункт remote networks для этого существует.

Еще. Вы выбрали алгоритм AES без GCM. И при этом вкл. аппаратное шифрование. Делов так не будет. Выбирайте и на сервере и на клиентах алгортим с GCM в название. Иначе профита от вкл. аппаратного шифрования не получите.

pigbrother

@werter said in OpenVPN Клиент Сервер при сети из нескольких филиалов:

Пушите маршруты клиентам на сервере

Не сильно уверен (давно отказался), но вроде как push route для PSK не работает.

werter

@pigbrother

Настройки OpenVPN сервера на любом филиале.
Server Mode: Remote Access (SSL/TLS)

?

pigbrother

@werter
Отвечал на этот пост
https://forum.netgate.com/topic/147028/%D0%B4%D0%B2%D0%B0-%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%B0-%D0%B8-openvpn-%D0%BA%D0%BB%D0%B8%D0%B5%D0%BD%D1%82/81

где вы пишете

@werter said in Два провайдера и openvpn клиент:

Создаем и настраиваем P2P Shared key Openvpn серверы и клиенты

Как оно попало в этот топик - не знаю